09012 Die Umsetzung von Risikomanagement nach ISO 31000
|
Das Risikomanagement (RM) ist Bestandteil eines Integrierten Managements des Unternehmens. Es ist kein Stand-Alone-System, sondern eine unternehmerisch notwendige Perspektive auf die Wertschöpfung des Unternehmens. In diesem Beitrag wird die Umsetzung eines unternehmensweiten Risikomanagements nach den Grundsätzen und Richtlinien der ISO 31000 beschrieben, ergänzt um weitere Standards und Konzepte außerhalb dieser Norm. Hierbei werden die Inhalte der Norm erläutert und Empfehlungen für die Umsetzung formuliert. Aspekte der Integration von Risikomanagement und des Nutzens von Risikomanagementsoftware runden den Beitrag ab. von: |
1 Grundlegendes zur ISO 31000
Vorab
ISO 31000 wird im Folgenden für ISO 31000:2009 [1] bzw. für den Normentwurf DIN ISO 31000:2011-01 verwendet. Die Ausführungen dieses Beitrags beziehen sich auf den Normentwurf von 01-2011.
ISO 31000 wird im Folgenden für ISO 31000:2009 [1] bzw. für den Normentwurf DIN ISO 31000:2011-01 verwendet. Die Ausführungen dieses Beitrags beziehen sich auf den Normentwurf von 01-2011.
Bevor Sie die Umsetzung eines Risikomanagements nach der ISO 31000 beginnen, sollten Sie die folgenden Aussagen und Empfehlungen beherzigen:
| • | Nicht die ISO 31000 wird umgesetzt, sondern ein Risikomanagementsystem nach der ISO 31000. |
| • | Nicht die Existenz der Norm, sondern unternehmerische Gründe entscheiden und bestimmen die Umsetzung eines Risikomanagements. |
| • | Ein Risikomanagementsystem wird in der Praxis immer Elemente und Funktionen enthalten, die nicht in der ISO 31000 beschrieben sind. Verschiedene normierte, standardisierte und anderweitig dokumentierte Vorschriften und Praktiken kommen in einem tatsächlichen Risikomanagement zusammen. |
| • | Allein mit der Umsetzung einer Norm wie der ISO 31000 lässt sich in der Praxis kein funktionierendes und erfolgreiches Risikomanagement realisieren. |
Natürlich kann ein Risikomanagement auch nach anderen Vorgaben als der ISO 31000 umgesetzt werden. Eine Norm oder ein normenähnlicher Standard sollte dann gewählt werden, wenn eine Vergleichbarkeit der Umsetzung angestrebt wird und wenn dieser Standard eine Sammlung von aktuellen „Best-Practice”-Beispielen enthält, die bei der Umsetzung von Nutzen sein können.
Problem: Begriffe
Ein erstes Problem der ISO 31000 ist die fehlende Eindeutigkeit der Begriffe [2]. So kann z. B. der Begriff „Ungewissheit” wegen fehlender Definition unterschiedlich verstanden und interpretiert werden. Eine einheitliche gängige Praxis ist noch nicht zu erkennen. Auch die Norm liefert in der derzeitigen Fassung keine Lösung dieses Problems.
Ein erstes Problem der ISO 31000 ist die fehlende Eindeutigkeit der Begriffe [2]. So kann z. B. der Begriff „Ungewissheit” wegen fehlender Definition unterschiedlich verstanden und interpretiert werden. Eine einheitliche gängige Praxis ist noch nicht zu erkennen. Auch die Norm liefert in der derzeitigen Fassung keine Lösung dieses Problems.
Problem: Übersetzung ins Deutsche
Ein zweites Problem der ISO 31000 sowie aller mehrsprachigen und internationalen Normen zum Management ist die Uneindeutigkeit der Übersetzung einzelner Begriffe und ganzer Sätze [2]. Ob (englisch) „uncertainty” mit (deutsch) „Ungewissheit” oder mit „Unsicherheit” übersetzt wird, macht durchaus einen Unterschied. Erst recht, ob (englisch) „risk treatment” mit (deutsch) „Risikobehandlung”, „Risikobeherrschung”, „Risikobewältigung”, „Risikosteuerung” oder „Risikomanagement” übersetzt wird. Es ist eine Tatsache, dass ein Wort und ein Text nicht so eindeutig und objektiv sind, wie eine Zahl oder eine mathematische Berechnung. Die Norm ist diesbezüglich in der derzeitigen deutschen Version nicht eindeutig. Die ISO 31000:2009 gibt es als Normentwurf des DIN in deutscher Übersetzung und als österreichische Norm ebenfalls in deutscher Übersetzung. Leider sind die beiden Übersetzungen nicht völlig identisch.
Ein zweites Problem der ISO 31000 sowie aller mehrsprachigen und internationalen Normen zum Management ist die Uneindeutigkeit der Übersetzung einzelner Begriffe und ganzer Sätze [2]. Ob (englisch) „uncertainty” mit (deutsch) „Ungewissheit” oder mit „Unsicherheit” übersetzt wird, macht durchaus einen Unterschied. Erst recht, ob (englisch) „risk treatment” mit (deutsch) „Risikobehandlung”, „Risikobeherrschung”, „Risikobewältigung”, „Risikosteuerung” oder „Risikomanagement” übersetzt wird. Es ist eine Tatsache, dass ein Wort und ein Text nicht so eindeutig und objektiv sind, wie eine Zahl oder eine mathematische Berechnung. Die Norm ist diesbezüglich in der derzeitigen deutschen Version nicht eindeutig. Die ISO 31000:2009 gibt es als Normentwurf des DIN in deutscher Übersetzung und als österreichische Norm ebenfalls in deutscher Übersetzung. Leider sind die beiden Übersetzungen nicht völlig identisch.
Problem: Kompromiss der Interessen
Ein drittes Problem der ISO 31000 sowie vieler anderer Normen liegt in ihrem Entstehungsprozess bei den Normenorganisationen. Eine Norm ist ein Kompromiss aus vielen einzelnen Interessen und damit nicht das maximal Mögliche oder das optimal Machbare. Die Norm ist auch als Konsens von Interessen nicht aus einem Guss.
Ein drittes Problem der ISO 31000 sowie vieler anderer Normen liegt in ihrem Entstehungsprozess bei den Normenorganisationen. Eine Norm ist ein Kompromiss aus vielen einzelnen Interessen und damit nicht das maximal Mögliche oder das optimal Machbare. Die Norm ist auch als Konsens von Interessen nicht aus einem Guss.
Problem: Zertifizierung
Ein viertes Problem der ISO 31000 ist, dass es in vielen Unternehmen eine existierende und bewährte Umsetzung eines Risikomanagements gibt, die mehr oder weniger den Grundsätzen und Richtlinien der Norm implizit folgt, ohne sie explizit zu berücksichtigen. Da die Norm keine Zertifizierung vorsieht, besteht für Unternehmen nur eine geringe Veranlassung, eine Konformität ihres Risikomanagements mit der Norm nachzuweisen. Es ist in der Tat so, dass viele Unternehmen, die bereits ein Risikomanagement betreiben, aktuell einen Abgleich mit der Norm prüfen, ohne eine volle Umsetzung zu planen. Die Norm ist keine Forderungsnorm wie die ISO 9001. Dennoch kann ein Risikomanagement nach der Norm ISO 31000 zertifiziert werden. Das erfolgt in der Regel in einem integrierten Managementsystem zusammen mit einem Qualitätsmanagement.
Ein viertes Problem der ISO 31000 ist, dass es in vielen Unternehmen eine existierende und bewährte Umsetzung eines Risikomanagements gibt, die mehr oder weniger den Grundsätzen und Richtlinien der Norm implizit folgt, ohne sie explizit zu berücksichtigen. Da die Norm keine Zertifizierung vorsieht, besteht für Unternehmen nur eine geringe Veranlassung, eine Konformität ihres Risikomanagements mit der Norm nachzuweisen. Es ist in der Tat so, dass viele Unternehmen, die bereits ein Risikomanagement betreiben, aktuell einen Abgleich mit der Norm prüfen, ohne eine volle Umsetzung zu planen. Die Norm ist keine Forderungsnorm wie die ISO 9001. Dennoch kann ein Risikomanagement nach der Norm ISO 31000 zertifiziert werden. Das erfolgt in der Regel in einem integrierten Managementsystem zusammen mit einem Qualitätsmanagement.
Im Folgenden wird die Umsetzung eines Risikomanagements nach den Grundsätzen und Richtlinien der ISO 31000 entlang der einzelnen Normkapitel 1 bis 5 beschrieben. Es ist in der Praxis leider oft so, dass man sich bei der Umsetzung eines Managementsystems nach einer Norm gleich zu Beginn auf den Managementprozess stürzt. Bei der ISO 31000 befasst sich das letzte Normkapitel 5 mit dem Prozess. Vor diesem Vorgehen wird gewarnt, da es zu einem blinden Aktionismus führt, weil der Prozess ohne eine Risikomanagementpolitik (Normkapitel 3 „Grundsätze” und Normkapitel 4 „Rahmen”) und ohne ein Risikomanagementsystem (Normkapitel 4) nicht im Unternehmen verankert ist und das Risikomanagement nicht ins Management integriert ist. Ein solches Vorgehen liefert zwar schnelle, aber keine nachhaltigen Ergebnisse.
Die Abbildung 1 bezieht sich auf die Normkapitel 1 bis 5 der ISO 31000. Sie gibt eine bildliche Übersicht über die Normstruktur und ist angelehnt an Bild 1 „Beziehungen zwischen den Grundsätzen des Risikomanagements, dem Rahmen des Risikomanagements und dem Prozess des Risikomanagements” des Normtextes. Die folgenden Abschnitte 2.1 bis 2.5 korrespondieren mit den fünf Normkapiteln 1 bis 5.
